Dos nuevos avisos de SCI
Avisos de seguridad de Siemens de agosto de 2023
- JT Open;
- JT Utilities;
- Parasolid;
- JT2Go;
- Solid Edge;
- Teamcenter Visualization;
- Siemens Software Center;
- SIMATIC;
- SICAM TOOLBOX II;
- RUGGEDCOM;
- Teamcenter Visualization.
Ver modelos concretos y versiones afectadas en la sección de 'Referencias'.
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 nuevos avisos de seguridad, recopilando un total de 37 vulnerabilidades de distintas severidades.
Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:
- provisión incorrecta de la funcionalidad especificada (CVE-2023-24845);
- inyección de comandos SQL (CVE-2023-37372).
El listado completo de identificadores CVE puede consultarse en las referencias.
Múltiples vulnerabilidades en productos de Phoenix Contact
- PLCnext Engineer, versiones iguales o anteriores a 2023.3;
- CLOUD CLIENT 1101T-TX/TX, versiones anteriores a 2.06.10;
- TC CLOUD CLIENT 1002-4G, versiones anteriores a 2.07.2;
- TC CLOUD CLIENT 1002-4G ATT, versiones anteriores a 2.07.2;
- TC CLOUD CLIENT 1002-4G VZW, versiones anteriores a 2.07.2;
- TC ROUTER 3002T-4G, versiones anteriores a 2.07.2;
- TC ROUTER 3002T-4G ATT, versiones anteriores a 2.07.2;
- TC ROUTER 3002T-4G VZW, versiones anteriores a 2.07.2.
CERT@VDE ha informado y coordinado la publicación de varias vulnerabilidades descubiertas en productos de Phoenix Contact, incluyendo dispositivos TC ROUTER, TC CLOUD CLIENT, CLOUD CLIENT y PLCnext Engineer, que podrían permitir a un atacante una ejecución de código en el contexto del navegador del usuario, una ejecución remota de código, el robo de datos o impedir que el sistema funcione correctamente.
Phoenix Contact recomienda encarecidamente actualizar a la última versión de firmware disponible de los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT, así como a la versión 2023.6 de PLCnext Engineer.
En los dispositivos PLCnext Engineer se utiliza la biblioteca LibGit2Sharp que contiene diferentes vulnerabilidades, permitiendo la más crítica, la utilización de archivos git especialmente diseñados conducen a una ejecución remota de código. Se ha asignado el CVE-2019-1353 para esta vulnerabilidad.
En los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT la vulnerabilidad más crítica permitiría a un atacante remoto no autenticado usar un XSS reflejado dentro de la página del visor de licencias de los dispositivos. Se ha asignado el CVE-2023-3526 para esta vulnerabilidad.
El resto de identificadores CVE no críticos pueden consultarse en los avisos del CERT@VDE.